Normas Internacionales - PowerPoint PPT Presentation

About This Presentation
Title:

Normas Internacionales

Description:

Normas Internacionales Seguridad de las Aplicaciones Normas Internacionales Introducci n ISO 17799 ISO 15408 COBIT SP800-14+27 SAS 94 Introducci n nfasis en ... – PowerPoint PPT presentation

Number of Views:91
Avg rating:3.0/5.0
Slides: 35
Provided by: Turismo9
Category:

less

Transcript and Presenter's Notes

Title: Normas Internacionales


1
Normas Internacionales
  • Seguridad de las Aplicaciones

2
Normas Internacionales
  • Introducción
  • ISO 17799
  • ISO 15408
  • COBIT
  • SP800-1427
  • SAS 94

3
Introducción
  • Énfasis en seguridad de redes
  • Un igual o mayor riesgo puede ser asociado con
    aplicaciones críticas
  • Varias normas enfatizan la seguridad de las
    aplicaciones, incluso la confidencialidad,
    integridad y disponibilidad.
  • Algunas áreas de seguridad específicas ponen
    énfasis en las normas, por ejemplo controles de
    acceso, ciclo de vida y control de criptografía.

4
Introducción
  • La seguridad de la aplicación se puede definir
    como
  • Un conjunto de mecanismos de seguridad alrededor
    de una aplicación que protege su
    confidencialidad, integridad y disponibilidad

5
Introducción
  • Las aplicaciones en el ambiente de producción
    moderno, no operan en un vacío.
  • El análisis del proceso comercial se utiliza para
    entender el papel y funcionamiento de una
    aplicación.
  • La administración de riesgos es importante para
    dirigir y asignar los recursos de seguridad a las
    áreas más críticas.

6
ISO 17799
  • Publicada el año 2000 y esta basada en la norma
    7799 del año 1995.
  • Es un conjunto de controles que considera las
    mejores prácticas en seguridad de información
    incluyendo las políticas, prácticas,
    procedimientos, estructuras organizacionales y
    funciones del software
  • Recomienda realizar y mantener un documento
    Administración Sistema Seguridad de la
    Información.
  • Debe enfocarse en identificar los recursos de
    información críticos e identificar los niveles de
    seguridad requeridos.

7
ISO 17799
  • Los controles detallados son organizados en 10
    secciones principales
  • La Política de Seguridad
  • La Organización de la Seguridad
  • La Clasificación y Control del Recurso
  • La Seguridad del Personal
  • La Seguridad Física y Medio Ambiental
  • Comunicaciones y Administración de las
    Operaciones
  • Control de Acceso
  • El Desarrollo y Mantención de Sistemas
  • Administración del Plan de Continuidad

8
ISO 17799
  • Seguridad de la Aplicación
  • La sección de Desarrollo y Mantención de Sistemas
    provee objetivos de seguridad específicos,
    riesgos y controles relativos a la seguridad de
    la aplicación
  • El objetivo básico es prevenir la pérdida ,
    modificación o mal uso de los datos del usuario.
  • Controles deben ser diseñados alrededor de la
    entrada, proceso y salida de datos.

9
ISO 17799
  • Los controles específicos de entrada incluyen
    chequeos de doble ingreso.
  • El procesamiento de datos incluye controles para
    proteger la integridad de la información, como
    por ejemplo totales de control.
  • Controles de salida deben incluir la posibilidad
    de verificar la razonabilidad de los datos y
    control de conciliación para asegurar el proceso
    de la totalidad de la información.
  • Los controles de criptografía son analizados con
    el objetivo de proteger la confidencialidad,
    autenticidad e integridad de la información.

10
ISO 17799
  • Las políticas son apropiadas aquí para
    identificar la información sensible, que requiere
    protección.
  • Los algoritmos de encriptación y largo de las
    llaves son problemas importantes.
  • El control de las firmas digitales y
    administración de las claves de criptografía son
    importantes para proteger la autenticidad e
    integridad de los documentos electrónicos.
  • La administración de claves incluye las funciones
    críticas de generación, distribución,
    almacenamiento y revocación de claves.

11
ISO 15408Criterio de Evaluación para Seguridad
de TI
  • Esta basado en el criterio común para evaluar
    productos de TI y sistemas.
  • La función de criterio común es una norma para
    medir la seguridad y confiabilidad asociada con
    un producto.
  • El objetivo es prevenir el acceso no autorizado,
    modificación o pérdida de uso, similar a
    confidencialidad, integridad y disponibilidad.
  • Fue publicado en 1999 por un consorcio de EE.UU y
    la ISO Europea, y fue autorizado al ISO como
    ISO/IEC 15408

12
ISO 15408
  • Los usuarios pueden usar la norma para determinar
    si una aplicación o sistema cumple con sus
    requerimientos.
  • Los diseñadores usan la norma como una guía para
    diseñar y construir un producto.
  • Los evaluadores usan la norma para probar los
    productos y determinar que funcionalidad esta
    incluida.
  • Pueden evaluarse usando el criterio común
    incluso los sistemas operativos, redes, sistemas
    distribuídos y aplicaciones.

13
ISO 15408
  • Seguridad de la Aplicación
  • Presenta dos categorías de requerimientos de
    seguridad, funcional y requisitos de
    confiabilidad que son usadas para desarrollar
    aplicaciones con varios grados de seguridad.
  • Los requerimientos de seguridad funcional están
    agrupados en 11 clases, cada uno con un número de
    familias, que tienen un objetivo específico de
    seguridad y una conducta de seguridad deseada.
  • Las 11 clases son

14
ISO 15408
  • Auditoría de Seguridad
  • Identificación y Autenticación
  • Utilización de los recursos
  • Soporte de Criptografía
  • Administración de Seguridad
  • Control de Acceso
  • Comunicación
  • Privacidad
  • Rutas Seguras (Canales)
  • Protección de datos del Usuario
  • Protección de Funciones de Seguridad.

15
ISO 15408
  • Los requisitos de confiabilidad están basados en
    la confianza en la aplicación de funciones de
    seguridad así como la efectividad de las mismas.
  • Estos requerimientos están basados en la
    presencia de la conducta deseada así como la
    ausencia de la conducta no deseada.
  • Los ocho requisitos son

16
ISO 15408
  • Administración de la configuración
  • Documentación de los procedimientos
  • Valoración de la vulnerabilidad
  • Entrega y Operación
  • Apoyo al ciclo de vida
  • Mantención de la confiabilidad
  • Desarrollo
  • Pruebas

17
ISO 15408
  • Los niveles de evaluación de confiabilidad (EAL)
    son paquetes predefinidos de los requisitos de
    confiabilidad previamente mencionados.
  • EAL1 indica que un producto solo ha sido probado
    funcionalmente
  • EAL7 indica que el producto ha sido sometido al
    máximo de pruebas y el diseño ha sido probado
    completamente, este nivel es asociado a una
    información de alto valor y alto riesgo.
  • Esta norma no asigna un modelo para el desarrollo
    de las aplicaciones.

18
COBIT
  • Fue publicado por el IT Governance Institute e
    ISACF
  • Es un conjunto de administración de TI y
    prácticas de control.
  • La guía de administración de TI esta integrada en
    el ciclo de requerimientos del negocio, procesos
    de TI y recursos de TI para soportar las
    operaciones de la empresa.
  • Cobit describe un rango de criterios de
    información para desarrollar un programa de
    seguridad comprensivo en apoyo a las necesidades
    del negocio.
  • Un concepto fundamental de Cobit es que los
    requerimientos de la empresa son la prioridad y
    la información debe conformarse de acuerdo a un
    cierto criterio.

19
COBIT
  • Los criterios de información fueron desarrollados
    de otros modelos de seguridad conocidos e
    integrado los conceptos de efectividad, eficacia,
    fiabilidad y rendimiento, así como los conceptos
    de seguridad tradicionales de confidencialidad,
    integridad y disponibilidad.
  • Cobit incluye 34 procesos TI agrupados en cuatro
    dominios
  • Planificación y Organización (PO)
  • Adquisición e Implementación (AI)
  • Entrega y Soporte (DS)
  • Monitoreo (M)

20
COBIT
  • Los procesos son abiertos a su vez en 318
    objetivos de control específicos y guías de
    auditoría asociadas.
  • Los recursos de TI incluyen datos, sistemas de
    aplicación, tecnología, instalaciones y personal.
  • El control y la seguridad es crítico en la
    administración de estos recursos usando políticas
    específicas, procedimientos, prácticas y
    estructura organizacional.

21
COBIT
  • Aplicación de Seguridad
  • Se entienden los sistemas de aplicación como la
    suma de procedimientos manuales y procedimientos
    programados.
  • Los datos se definen ampliamente incluyendo
    texto, video, gráfico y sonido.
  • Estos dos recursos de TI convierten los eventos
    comerciales en información utlizable.
  • Aplicación de seguridad es integrada en los
    cuatro dominios de Cobit.

22
Dominios y Procesos Relevantes a la Seguridad de
Aplicaciones
Planificación y Organización (PO) Adquisición e Implementación (AI) Entrega y Soporte (DS) Monitoreo (M)
Definir Plan Estratégico de TI (PO1) Identificar soluciones automatizadas (AI1) Definir y administrar niveles de servicio (DS1) Monitoreo de Procesos (M1)
Definir arquitectura de información (PO2) Adquirir y mantener aplicaciones de software (AI2) Administrar los servicios de terceros (DS2) Determinar un control interno adecuado (M2)
Administrar la inversión en TI (PO5) Desarrollar y mantener procedimientos (AI4) Administrar el rendimiento y capacidad (DS3) Obtener confiabilidad independiente
Asegurar cumplimiento con requerimientos externos (PO8) Instalar y acreditar sistemas (AI5) Asegurar continuidad del servicio (DS5)
Determinar riesgos (PO9) Administración de cambios (AI6) Asegurar la seguridad del sistema (DS5)
Administrar Proyectos (PO10) Identificar los costos asignados (DS6)
Administrar calidad (PO11) Ayude y aconseje a clientes (DS8)
Administre la configuración (DS9)
Administre problemas e incidentes (DS10)
Administre las operaciones (DS13)
23
SP800-14
  • El Instituto de Normas y Tecnología (NIST) y el
    Departamento de Comercio de US publicaron
    Principios Generalmente Aceptados y Prácticas
    para la Seguridad de los Sistemas de Información
    Tecnológicos, Publicación Especial 800-14 en
    1996.
  • Este documento proporciona una base de los
    principios de seguridad y prácticas para el uso,
    protección y diseño de los sistemas de
    información gubernamentales
  • Posee 8 principios y 14 prácticas .
  • Los principios de seguridad generalmente
    aceptados son generales.
  • Prácticas y controles en cada una de las fases
    del ciclo de vida.
  • Controles operacionales

24
SP800-14 27
  • El concepto en SP800-14 fue desarrollado más
    tarde en Principios de Ingeniería para Seguridad
    de Sistemas de Informacìón Tecnológicos,
    Publicación Especial 800-27, publicada por el
    NIST el 2001.
  • Provee un mayor nivel de seguridad.
  • Referencia a la ISO 15408 (criterio común)
  • Incluye 33 principios de seguridad que aplican a
    las fases del ciclo de vida.

25
SAS 94
  • El AICPA emitió el SAS 94 en 2001 Los Efectos de
    la Tecnología de Información en el Auditor,
    Consideración del Control Interno en una
    Auditoría de Estados Financieros.
  • Esta norma requiere que el auditor financiero
    considere la tecnología de información como parte
    del control interno.
  • SAS 94 actualiza SAS 55 y 78.
  • Controles de Aplicaciones relevantes en una
    auditoría financiera incluyen control de acceso,
    control de cambios de programas, control de
    procesos,etc.

26
SAS 94
  • Sugiere dos niveles
  • Primero es una revisión de los controles
    operacionales
  • El segundo y más profundo es una revisión de si
    los controles están operando eficazmente.
  • La diferencia entre ambos niveles es el alcance o
    magnitud
  • El objetivo es la integridad de toda la
    información que afecta los estados financieros y
    la auditoría.

27
Conclusión
  • Las normas y documentos presentados muestran la
    seguridad de aplicaciones desde diferentes
    perspectivas.
  • Comparten controles en muchas áreas, como el
    ciclo de vida y aplicaciones de entrada, proceso
    y salida.
  • La ISO 15408 ha tenido un gran impacto y ha sido
    referenciada por otras normas.
  • Cobit e ISO 15408 parecen tener una mayor
    profundidad y detalle referente a la seguridad.

28
Documentación
  • ISO 17799
  • www.bspsl.com/secure/iso17799software/cvm.cfm
  • COBIT
  • www.isaca.org/cobit.htm
  • www.isaca.cl
  • ISO 15408
  • Csrc.nist.gov/cc/ccv20/ccv2list.htm
  • SP 800-14 27
  • Csrc.nist.gov/publications/nistpubs
  • SAS 94
  • www.aicpa.org/members/div/auditstd/riasai/sas94.ht
    m

29
DS 5 Ensure Systems Security
  • Proceso TI, requerimiento de la empresa y
    objetivo de control detallado define que
    necesita hacer para implementar una efectiva
    estructura de seguridad.
  • La práctica de control de TI provee con más
    detalle como y por qué es necesario que el
    administrador, proveedor de servicios, usuario
    final y profesionales de auditoría implementen
    controles específicos basados en una análisis de
    la operación y riesgo de la TI.
  • Dentro de Cobit DS 5 es un objetivo de control de
    alto nivel para salvaguardar la información de
    uso no autorizado, acceso no autorizado,
    modificaciones, daños o pérdidas por acceso al
    sistema, datos y programas son restringidos a
    usuarios autorizados.
  • Posee 21 objetivos de control detallados

30
DS 5 Ensure Systems Security
  • 5.1 Administración medidas de seguridad
  • 5.2 Identificación, autenticación y acceso
  • 5.3 Seguridad acceso en línea a los datos
  • 5.4 Administración cuentas de usuarios
  • 5.5 Administración revisión cuentas de usuarios
  • 5.6 Control del usuario de las cuentas de
    usuarios
  • 5.7 Vigilancia de seguridad
  • 5.8 Clasificación de los datos
  • 5.9 Identificación central y administración de
    los derechos de acceso

31
DS 5 Ensure Systems Security
  • 5.10 Violaciones e informes de seguridad
  • 5.11 Manejo de incidentes
  • 5.12 Reacreditación
  • 5.13 Confianza del contador de acceso
  • 5.14 Autorización de transacciones
  • 5.15 No repudio
  • 5.16 Camino correcto
  • 5.17 Protección de las funciones de seguridad
  • 5.18 Administración de las claves de criptografía

32
DS 5 Ensure Systems Security
  • 5.19 Prevención, detección y corrección de
    software malicioso
  • 5.20 Arquitectura de Firewall y conexiones con
    redes públicas.
  • 5.21 Protección del valor electrónico

33
DS 5 Ensure Systems Security
  • DS 5.2 Identificación, autenticación y acceso
  • Porque hacer esto
  • Asegurar a los usuarios externos que el sistema
    es adecuadamente seguro
  • Protección de los sistemas de información para
    prevenir acceso o uso no autorizado
  • Especificación de requerimientos mínimos de
    seguridad para todos los sistemas
  • Segregación apropiada entre los ambientes de
    producción, prueba y desarrollo.

34
DS 5 Ensure Systems Security
  • Prácticas de Control
  • Los sistemas e información están protegidos para
    prevenir un acceso no autorizado
  • Los requerimientos mínimos de seguridad son
    especificados para todos los sistemas operativos
    y versiones dentro de la organización
  • Los sistemas operativos son probados para cumplir
    con los requerimientos mínimos de seguridad
    establecidos.
  • Cumplimiento con los requerimientos de seguridad
    establecidos son revisados regularmente.
  • Los recursos están protegidos por reglas de
    acceso, basado en una adecuada identificación y
    autenticación de los usuarios.
  • Posterior a una falla del sistema, los usuarios
    no esta permitido volver atrás en el sistema sin
    una reautenticación.
Write a Comment
User Comments (0)
About PowerShow.com